例:EX シリーズ スイッチで MPLS CCC を介した MACsec の設定
この例では、基本的なMPLS CCCを介して、あるサイトのユーザから別のサイトのユーザに移動する機密性の高いトラフィックをMACsecで保護する方法を示しています。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
MPLS ネットワークで PE およびプロバイダ スイッチとして使用される 3 台の EX4550 スイッチ
サイトAをMPLSネットワークに接続するCEスイッチとして使用されるEX4550スイッチ1台
サイトBをMPLSネットワークに接続するCEスイッチとして使用されるSFP+ MACsecアップリンクモジュールを搭載したEX4200スイッチ1台
MPLS ネットワーク内のすべての EX4550 スイッチ(PE1、PE2、またはプロバイダ スイッチ)で実行されている Junos OS リリース 12.2R1 以降
サイト A の CE スイッチとサイト B の CE スイッチで実行されている Junos OS リリース 13.2X50-D15 (制御バージョン) 以降
手記:MACsecを有効にするには、ジュニパーネットワークスJunosオペレーティングシステム(Junos OS)ソフトウェアの制御バージョンをダウンロードする必要があります。MACsecソフトウェアのサポートは、デフォルトでスイッチにインストールされているJunos OSソフトウェアの国内バージョンでは利用できません。Junos OSソフトウェアの制御バージョンには、国内バージョンのJunos OSで利用可能なすべての機能が含まれ、MACsecもサポートされています。MACsecソフトウェア要件の詳細については、 メディアアクセス制御セキュリティ(MACsec)について を参照してください。
サイトAのCEスイッチとサイトBのCEスイッチにインストールされているMACsec機能ライセンス
手記:MACsecのソフトウェアライセンスを購入するには、ジュニパーネットワークスの営業担当者(https://www.juniper.net/us/en/contact-us/sales-offices)にお問い合わせください。ジュニパーネットワークスの営業担当者が、機能ライセンス ファイルとライセンス キーを提供します。スイッチのシャーシシリアル番号を入力するよう求められます。シリアル番号は、
show virtual-chassis
コマンドまたはshow chassis hardware
コマンドを実行して取得できます。
概要とトポロジー
この例では、財務上の機密性の高い企業データは、サイト A のユーザーとサイト B のユーザーの間で送信されることがよくあります。同社は、サイト A のユーザーからサイト B のユーザーに移動するすべてのネットワーク トラフィックの安全性が高く、攻撃者が表示したり破損したりできないようにしたいと考えています。同社は、攻撃者がデータを閲覧できないようにするための暗号化と、送信されたデータが破損していないことを確認するための整合性チェックを提供するMACsecが提供する業界標準のレイヤー2セキュリティを使用して、サイトを接続するMPLSクラウドを介してCCC上を移動するすべてのトラフィックを保護しています。VLANは、MACsecで保護されたCCCを介して2人のユーザー間を移動するトラフィックがサイトを通過するように、両方のサイトで設定されています。
この例のMPLSネットワークには、2つのPE(プロバイダエッジ)スイッチ(PE1とPE2)と1つのプロバイダ(トランジット)スイッチが含まれています。PE1 はサイト A の CE(カスタマーエッジ)スイッチを MPLS ネットワークに接続し、PE2 はサイト B の CE スイッチを MPLS ネットワークに接続します。サイトAとサイトBのCEスイッチを接続するCCCでMACsecが有効になっており、CCCを介してサイト間を移動するトラフィックを保護します。ユーザーを CE スイッチに接続するインターフェイス、サイト A の CE スイッチ上のインターフェイス ge-0/0/0、サイト B の CE スイッチ上のインターフェイス ge-0/0/2、および CE スイッチを MPLS クラウドに接続するインターフェイス(サイト A の CE スイッチ上の ge-0/0/0、サイト B の CE スイッチ上の xe-0/1/0)を含む VLAN は、ユーザ間のすべてのトラフィックをMACsecで保護されたCCCに転送するために使用されます。
図 1 に、この例で使用するトポロジを示します。MACsecで保護されたCCCトラフィックは、図の MACsec CCC
とラベル付けされています。

表 1 に、このトポロジーにおける MPLS ネットワーク コンポーネントの概要を示します。
表 2 に、このトポロジーで使用される MACsec 接続アソシエーションの概要を示します。MACsecを有効にするには、リンクの両端のインターフェイスに接続性の関連付けを作成します。MACsecは、リンクの両端のインターフェイスが事前共有キーを交換し(事前共有キーは接続アソシエーションで定義されます)、MACsecのリンクを保護する場合に有効になります。
表 3 に、このトポロジーで使用される VLAN の概要を示します。このトポロジーではVLANを使用して、サイトAのユーザーからサイトBのユーザーへのすべての通信をMACsecで保護されたCCCに誘導します。
コンポーネント | の説明 |
---|---|
PE1 |
PE スイッチ。 lo0:
ge-0/0/0:
ge-0/0/1:
|
供給者 |
プロバイダー スイッチ。 lo0:
ge-0/0/10:
xe-0/0/0:
|
PE2 |
PE スイッチ。 lo0:
xe-0/1/0
xe-0/1/1
|
lsp_to_pe2_xe1ラベルスイッチパス |
PE1 から PE2 へのラベルスイッチ パス。 |
lsp_to_pe1_ge0ラベルスイッチパス |
PE2 から PE1 へのラベルスイッチ パス。 |
接続性アソシエーション | の説明 |
---|---|
CCC-MACsec |
サイトAをサイトBに接続するCCCでMACsecを有効にする接続性の関連付け。 接続性の関連付けは、次のインターフェイスで有効になっています。
|
VLAN | の説明 |
---|---|
MACsec |
サイトAのユーザーとサイトBのユーザー間のトラフィックをMACsecで保護されたCCCに転送するVLAN。 VLANには、以下のインターフェイスが含まれます。
|
MPLS の設定
このセクションでは、MPLS ネットワーク内の各スイッチで MPLS を設定する方法について説明します。
この章は、以下のセクションで構成されています。
スイッチ PE1 での MPLS の設定
CLIクイック構成
PE1 スイッチで MPLS 設定をすばやく設定するには、次のコマンドを使用します。
[edit] set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3 set protocols mpls interface ge-0/0/1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface ge-0/0/1.0 set interfaces lo0 unit 0 family inet address 130.1.1.1/32 set interfaces ge-0/0/1 unit 0 family inet address 10.1.5.2/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces ge-0/0/0 unit 0 family ccc set protocols connections remote-interface-switch ge-1-to-pe2 interface ge-0/0/0.0 set protocols connections remote-interface-switch ge-1-to-pe2 transmit-lsp lsp_to_pe2_xe1 set protocols connections remote-interface-switch ge-1-to-pe2 receive-lsp lsp_to_pe1_ge0
手順
スイッチPE1でMPLSを設定するには、次の手順に従います。
トラフィック制御を有効にして OSPF を設定します。
[edit protocols] user@switch-PE1# set ospf traffic-engineering
ループバック アドレスとコア インターフェースで OSPF を設定します。
[edit protocols] user@switch-PE1# set ospf area 0.0.0.0 interface lo0.0 user@switch-PE1# set ospf area 0.0.0.0 interface ge-0/0/1.0
このスイッチ(PE1)に MPLS を設定し、PE2 スイッチへの LSP を設定します。
[edit protocols] user@switch-PE1# set mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3
コア インターフェースで MPLS を設定します。
[edit protocols] user@switch-PE1# set mpls interface ge-0/0/1.0
ループバック インターフェースとコア インターフェースで RSVP を設定します。
[edit protocols] user@switch-PE1# set rsvp interface lo0.0 user@switch-PE1# set rsvp interface ge-0/0/1.0
ループバック インターフェースとコア インターフェースの IP アドレスを設定します。
[edit] user@switch-PE1# set interfaces lo0 unit 0 family inet address 130.1.1.1/32 user@switch-PE1# set interfaces ge-0/0/1 unit 0 family inet address 10.1.5.2/24
コア インターフェイス アドレスの論理ユニットで
family mpls
を設定します。[edit] user@switch-PE1# set interfaces ge-0/0/1 unit 0 family mpls
カスタマー エッジ インターフェースの論理ユニットを CCC として設定します。
[edit interfaces ge-0/0/0 unit 0] user@PE-1# set family ccc
PE1 から PE2 へのインターフェースベース CCC を設定します。
[edit protocols] user@PE-1# set connections remote-interface-switch ge-1-to-pe2 interface ge-0/0/0.0 user@PE-1# set connections remote-interface-switch ge-1-to-pe2 transmit-lsp lsp_to_pe2_xe1 user@PE-1# set connections remote-interface-switch ge-1-to-pe2 receive-lsp lsp_to_pe1_ge0
業績
設定の結果の表示:
user@PE-1> show configuration
interfaces { ge-0/0/0 { unit 0 { family ccc; } } ge-0/0/1{ unit 0 { family inet { address 130.1.5.2/24; } family mpls; } } lo0 { unit 0 { family inet { address 130.1.1.1/32; } } } } protocols { rsvp { interface lo0.0; interface ge-0/0/1.0; } mpls { label-switched-path lsp_to_pe2_xe1 { to 130.1.1.3; } interface ge-0/0/1.0; } ospf { traffic-engineering; area 0.0.0.0 { interface lo0.0; interface ge-0/0/1.0; } } connections { remote-interface-switch ge-1-to-pe2 { interface ge-0/0/0.0; transmit-lsp lsp_to_pe2_xe1; receive-lsp lsp_to_pe1_ge0; } } }
プロバイダ スイッチでの MPLS の設定
CLIクイック構成
プロバイダ スイッチで MPLS 設定を迅速に設定するには、次のコマンドを使用します。
[edit] set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/10.0 set protocols ospf area 0.0.0.0 interface xe-0/0/0.0 set protocols mpls interface ge-0/0/10.0 set protocols mpls interface xe-0/0/0.0 set protocols mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3 set protocols rsvp interface lo0.0 set protocols rsvp interface ge-0/0/10.0 set protocols rsvp interface xe-0/0/0.0 set interfaces lo0 unit 0 family inet address 130.1.1.2/32 set interfaces ge-0/0/10 unit 0 family inet address 10.1.5.1/24 set interfaces ge-0/0/10 unit 0 family mpls set interfaces xe-0/0/0 unit 0 family inet address 10.1.9.1/24 set interfaces xe-0/0/0 unit 0 family mpls
手順
プロバイダ スイッチを設定するには:
トラフィック制御を有効にして OSPF を設定します。
[edit protocols] user@switch-P# set ospf traffic-engineering
ループバック インターフェースとコア インターフェースで OSPF を設定します。
[edit protocols] user@switch-P# set ospf area 0.0.0.0 interface lo0.0 user@switch-P# set ospf area 0.0.0.0 interface ge-0/0/10.0 user@switch-P# set ospf area 0.0.0.0 interface xe-0/0/0.0
スイッチのコア・インタフェースに MPLS を設定する。
[edit protocols] user@switch-P# set mpls interface ge-0/0/10.0 user@switch-P# set mpls interface xe-0/0/0.0
ループバック インターフェースとコア インターフェースで RSVP を設定します。
[edit protocols] user@switch-P# set rsvp interface lo0.0 user@switch-P# set rsvp interface ge-0/0/10.0 user@switch-P# set rsvp interface xe-0/0/0.0
ループバック インターフェースとコア インターフェースの IP アドレスを設定します。
[edit] user@switch-P# set interfaces lo0 unit 0 family inet address 130.1.1.2/32 user@switch-P# set interfaces ge-0/0/10 unit 0 family inet address 10.1.5.1/24 user@switch-P# set interfaces xe-0/0/0 unit 0 family inet address 10.1.9.1/24
コア インターフェイス アドレスの論理ユニットで
family mpls
を設定します。[edit] user@switch-P# set interfaces ge-0/0/10 unit 0 family mpls user@switch-P# set interfaces xe-0/0/0 unit 0 family mpls
PE2 スイッチに LSP を設定します。
[edit] user@switch-P# set protocols mpls label-switched-path lsp_to_pe2_xe1 to 130.1.1.3
業績
設定の結果の表示:
user@switch-P> show configuration
interfaces { ge-0/0/10 { unit 0 { family inet { address 10.1.5.1/24; } family mpls; } } xe-0/0/0 { unit 0 { family inet { address 10.1.9.1/24; } family mpls; } } lo0 { unit 0 { family inet { address 130.1.1.2/32; } } } } protocols { rsvp { interface lo0.0; interface ge-0/0/10.0; interface xe-0/0/0.0; } mpls { label-switched-path lsp_to_pe2_xe1 { to 130.1.1.3; } interface ge-0/0/10.0; interface xe-0/0/0.0; } ospf { traffic-engineering; area 0.0.0.0 { interface lo0.0; interface ge-0/0/10.0; interface xe-0/0/0.0; } } }
スイッチ PE2 での MPLS の設定
CLIクイック構成
スイッチPE2でMPLS設定を迅速にcConfigurationするには、次のコマンドを使用します。
[edit] set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface xe-0/1/0.0 set protocols mpls label-switched-path lsp_to_pe1_ge0 to 130.1.1.1 set protocols mpls interface xe-0/1/0.0 set protocols rsvp interface lo0.0 set protocols rsvp interface xe-0/1/0.0 set interfaces lo0 unit 0 family inet address 130.1.1.3/32 set interfaces xe-0/1/0 unit 0 family inet address 10.1.9.2/24 set interfaces xe-0/1/0 unit 0 family mpls set interfaces xe-0/1/1 unit 0 family ccc set protocols connections remote-interface-switch xe-1-to-pe1 interface xe-0/1/1.0 set protocols connections remote-interface-switch xe-1-to-pe1 transmit-lsp lsp_to_pe1_ge0 set protocols connections remote-interface-switch xe-1-to-pe1 receive-lsp lsp_to_pe2_xe1
手順
スイッチPE2を設定するには:
トラフィック制御を有効にして OSPF を設定します。
[edit protocols] user@switch-PE2# set ospf traffic-engineering
ループバック インターフェースとコア インターフェースで OSPF を設定します。
[edit protocols] user@switch-PE2# set ospf area 0.0.0.0 interface lo0.0 user@switch-PE2# set ospf area 0.0.0.0 interface xe-0/1/0.0
このスイッチ(PE2)に MPLS を設定し、もう一方の PE スイッチ(PE1)への LSP(ラベルスイッチパス)を設定します。
[edit protocols] user@switch-PE2# set mpls label-switched-path lsp_to_pe1_ge0 to 130.1.1.1
コア インターフェースで MPLS を設定します。
[edit protocols] user@switch-PE2# set mpls interface xe-0/1/0.0
ループバック インターフェースとコア インターフェースで RSVP を設定します。
[edit protocols] user@switch-PE2# set rsvp interface lo0.0 user@switch-PE2# set rsvp interface xe-0/1/0.0
ループバック インターフェースとコア インターフェース向けの IP アドレスを設定します。
[edit] user@switch-PE2# set interfaces lo0 unit 0 family inet address 130.1.1.3/32 user@switch-PE2# set interfaces xe-0/1/0 unit 0 family inet address 10.1.9.2/24
コア インターフェースの論理ユニットで
family mpls
を設定します。[edit] user@switch-PE2# set interfaces xe-0/1/0 unit 0 family mpls
カスタマー エッジ インターフェースの論理ユニットを CCC として設定します。
[edit interfaces xe-0/1/1 unit 0] user@switch-PE2# set family ccc
プライマリエッジスイッチ間のインターフェースベースCCCを設定します。
[edit protocols] user@switch-PE2# set connections remote-interface-switch xe-1-to-pe1 interface xe-0/1/1.0 user@switch-PE2# set connections remote-interface-switch xe-1-to-pe1 transmit-lsp lsp_to_pe1_ge0 user@switch-PE2# set connections remote-interface-switch xe-1-to-pe1 receive-lsp lsp_to_pe2_xe1
業績
設定の結果の表示:
user@switch-PE2> show configuration
interfaces { xe-0/1/0 { unit 0 { family inet { address 10.1.9.2/24; } family mpls; } } xe-0/1/1 { unit 0 { family ccc; } } lo0 { unit 0 { family inet { address 130.1.1.3/32; } } } } protocols { rsvp { interface lo0.0; interface xe-0/1/0.0; } mpls { label-switched-path lsp_to_pe1_ge0 { to 130.1.1.1; } interface xe-0/1/0.0; } ospf { traffic-engineering; area 0.0.0.0 { interface lo0.0; interface xe-0/1/0.0; } } connections { remote-interface-switch xe-1-to-pe1 { interface xe-0/1/1.0; transmit-lsp lsp_to_pe1_ge0; receive-lsp lsp_to_pe2_xe1; } } }
MACsecの設定
このセクションでは、トポロジー内の各スイッチで MACsec を設定する方法について説明します。
この章は、以下のセクションで構成されています。
サイトAのCEスイッチでMACsecを設定し、サイトBへのトラフィックを保護
CLIクイック構成
[edit] set security macsec connectivity-association ccc-macsec security-mode static-cak set security macsec connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 set security macsec connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f set security macsec interfaces ge-0/0/0 connectivity-association ccc-macsec
手順
この例では、財務上の機密データを頻繁に交換するユーザ間のトラフィックは、MPLSクラウドを介してCCC上のサイト間で送信されます。MPLS PEスイッチに接続するサイトAとサイトBのCEスイッチ上のインターフェイスにMACsec接続アソシエーションを設定することにより、CCCでMACsecを有効にします。MACsec-Secure 接続を確立するには、接続アソシエーション名(この例では ccc-macsec)、一致する CKN(この例では 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311)、および CAK(この例では 228ef255aa23ff6729ee664acb66e91f)が一致している必要があります。
サイトAをサイトBに接続するCCCでMACsecを有効にするには、サイトAのCEスイッチで以下の手順を実行します。
ccc-macsec という名前の接続性の関連付けを作成し、MACsec セキュリティ モードを次のように構成
static-cak
。[edit security macsec] user@switch-CE-A# set connectivity-association ccc-macsec security-mode static-cak
CKN と CAK を設定して事前共有キーを作成します。
[edit security macsec] user@switch-CE-A# set connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 user@switch-CE-A# set connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f
PE1スイッチに接続するインターフェイスに接続関連付けを割り当てます。
[edit security macsec] user@switch-CE-A# set interfaces ge-0/0/0 connectivity-association ccc-macsec
これで、CCCの一方の端で接続性の関連付けを設定する手順が完了しました。MACsecは、一致する事前共有鍵との接続アソシエーションが、CCCのリンクの反対側(この場合はサイトB CEスイッチのインターフェイス)で有効になるまで有効になりません。サイト B の CE スイッチで接続性の関連付けを構成するプロセスは、次のセクションで説明します。
業績
設定の結果の表示:
user@switch-CE-A> show configuration
security { macsec { connectivity-association { ccc-macsec { pre-shared-key { cak "$9$rJ-lWLxNdw24Xxik.PQzreK"; ## SECRET-DATA ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311; } security-mode { static-cak; } } } interfaces { ge-0/0/0 { connectivity-association { ccc-macsec; } } } } }
サイトAへのトラフィックをセキュアにするためのサイトBのCEスイッチでのMACsecの設定
CLIクイック構成
[edit] set security macsec connectivity-association ccc-macsec security-mode static-cak set security macsec connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 set security macsec connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f set security macsec interfaces xe-0/1/0 connectivity-association ccc-macsec
手順
トラフィックは、CCC を使用して MPLS ネットワークを介してサイト B からサイト A に移動します。MPLS PEスイッチに接続するサイトAとサイトBのCEスイッチ上のインターフェイスにMACsec接続アソシエーションを設定することにより、CCCでMACsecを有効にします。MACsec-Secure 接続を確立するには、接続性の関連付けに一致する接続アソシエーション名(この例では ccc-macsec)、一致する CKN(37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311)、一致する CAK(228ef255aa23ff6729ee664acb66e91f)がなければなりません。
サイトBをサイトAに接続するCCCでMACsecを有効にするには、サイトBのCEスイッチで以下の手順を実行します。
ccc-macsec という名前の接続性の関連付けを作成し、MACsec セキュリティ モードを次のように構成
static-cak
。[edit security macsec] user@switch-CE-B# set connectivity-association ccc-macsec security-mode static-cak
CKN と CAK を設定して事前共有キーを作成します。
[edit security macsec] user@switch-CE-B# set connectivity-association ccc-macsec pre-shared-key ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311 user@switch-CE-B# set connectivity-association ccc-macsec pre-shared-key cak 228ef255aa23ff6729ee664acb66e91f
スイッチPE2に接続するインターフェイスに接続アソシエーションを割り当てます。
[edit security macsec] user@switch-CE-B# set interfaces xe-0/1/0 connectivity-association ccc-macsec
CCC の MACsec は、事前共有鍵が交換された後、この手順が完了した直後に有効になります。
業績
設定の結果の表示:
user@switch-CE-B> show configuration
security { macsec { connectivity-association { ccc-macsec { security-mode { static-cak; } pre-shared-key { cak "$9$rJ-lWLxNdw24Xxik.PQzreK"; ## SECRET-DATA ckn 37c9c2c45ddd012aa5bc8ef284aa23ff6729ee2e4acb66e91fe34ba2cd9fe311; } } } interfaces { xe-0/1/0 { connectivity-association { ccc-macsec; } } } } }
MACsecで保護されたCCCにトラフィックを送信するためのVLANの設定
このセクションでは、サイト A およびサイト B の CE スイッチで VLAN を設定する方法について説明します。VLANの目的は、MACsecで保護されたいトラフィックをMACsecで保護されたCCCに転送することです。
サイトAのCEスイッチにあるMACsec CCCにトラフィックを送信するためのVLANの設定
CLIクイック構成
[edit] set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members macsec set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members macsec set interfaces vlan unit 50 family inet address 5.5.5.1/24 set vlans macsec vlan-id 50 set vlans macsec l3-interface vlan.50
手順
サイトAのユーザーからMACsecで保護されたCCCにトラフィックを誘導するVLAN(VLAN ID 50)を作成するには、以下を行います。
ge-0/0/0 インターフェイスを MACsec VLAN に設定します。
[edit interfaces ge-0/0/0 unit 0] user@switch-CE-A# set family ethernet-switching vlan members macsec
ge-0/0/2 インターフェイスを MACsec VLAN に設定します。
[edit interfaces ge-0/0/2 unit 0] user@switch-CE-A# set family ethernet-switching vlan members macsec
MACsec VLAN ブロードキャスト ドメインの IP アドレスを作成します。
[edit interfaces] user@switch-CE-A# set vlan unit 50 family inet address 5.5.5.1/24
MACsec VLAN の VLAN タグ ID を 50 に設定します。
[edit vlans] user@switch-CE-A# set macsec vlan-id 50
レイヤー 3 インターフェイスを macsec VLAN に関連付けます。
[edit vlans] user@switch-CE-A# set macsec l3-interface vlan.50
業績
設定の結果の表示:
user@switch-CE-A> show configuration interfaces { ge-0/0/0 { unit 0 { family ethernet-switching { vlan members macsec; } } } ge-0/0/2 { unit 0 { family ethernet-switching { vlan members macsec; } } } vlan { unit 50 { family inet address 5.5.5.1/24; } } } vlans { macsec { l3-interface vlan.50; vlan-id 50; } }
サイトB の CE スイッチの MACsec CCC にトラフィックを送信するための VLAN の設定
CLIクイック構成
[edit] set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members macsec set interfaces xe-0/1/0 unit 0 family ethernet-switching vlan members macsec set interfaces vlan unit 50 family inet address 5.5.5.2/24 set vlans macsec vlan-id 50 set vlans macsec l3-interface vlan.50
手順
サイトBのユーザーのトラフィックをMACsecで保護されたCCCに転送するためのVLAN(VLAN ID 50)を作成するには:
ge-0/0/2 インターフェイスを MACsec VLAN に設定します。
[edit interfaces ge-0/0/2 unit 0] user@switch-CE-B# set family ethernet-switching vlan members macsec
xe-0/1/0 インターフェイスを MACsec VLAN に設定します。
[edit interfaces xe-0/1/0 unit 0] user@switch-CE-B# set family ethernet-switching vlan members macsec
MACsec VLAN ブロードキャスト ドメインの IP アドレスを作成します。
[edit interfaces] user@switch-CE-B# set vlan unit 50 family inet address 5.5.5.2/24
MACsec VLAN の VLAN タグ ID を 50 に設定します。
[edit vlans] user@switch-CE-B# set macsec vlan-id 50
レイヤー 3 インターフェイスを macsec VLAN に関連付けます。
[edit vlans] user@switch-CE-B# set macsec l3-interface vlan.50
業績
設定の結果の表示:
user@switch-CE-B> show configuration interfaces { ge-0/0/2 { unit 0 { family ethernet-switching { vlan members macsec; } } } xe-0/1/0 { unit 0 { family ethernet-switching { vlan members macsec; } } } vlan { unit 50 { family inet address 5.5.5.2/24; } } } vlans { macsec { l3-interface vlan.50; vlan-id 50; } }
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
- MACsec接続の検証
- MACsecで保護されたトラフィックがCCCを通過していることを検証する
- MPLS および CCC プロトコルがプロバイダ エッジとプロバイダ スイッチのインターフェイスで有効になっていることを検証します。
- MPLS ラベル動作の検証
- MPLS CCC のステータスの検証
- OSPF の動作確認
- RSVP セッションのステータスの検証
MACsec接続の検証
目的
CCC で MACsec が動作していることを確認します。
アクション
一方または両方のカスタマーエッジ(CE)スイッチで show security macsec connections
コマンドを入力します。
user@switch-CE-A> show security macsec connections
Interface name: ge-0/0/0
CA name: ccc-macsec
Cipher suite: GCM-AES-128 Encryption: on
Key server offset: 0 Include SCI: no
Replay protect: off Replay window: 0
Outbound secure channels
SC Id: 00:19:E2:53:CD:F3/1
Outgoing packet number: 9785
Secure associations
AN: 0 Status: inuse Create time: 2d 20:47:54
Inbound secure channels
SC Id: 00:23:9C:0A:53:33/1
Secure associations
AN: 0 Status: inuse Create time: 2d 20:47:54
意味
Interface name:
および CA name:
出力は、ccc-macsec 接続アソシエーションがインターフェイス ge-0/0/0 で動作していることを示しています。インターフェイス上で接続アソシエーションが動作していない場合、出力は表示されません。
CCCでMACsecが動作していることをさらに確認するために、もう一方のCEスイッチで show security macsec connections
コマンドを入力することもできます。
MACsecで保護されたトラフィックがCCCを通過していることを検証する
目的
CCCを通過するトラフィックがMACsecで保護されていることを確認します。
アクション
一方または両方の CE スイッチで show security macsec statistics
コマンドを入力します。
user@switch-CE-A> show security macsec statistics
Interface name: ge-0/0/0
Secure Channel transmitted
Encrypted packets: 9784
Encrypted bytes: 2821527
Protected packets: 0
Protected bytes: 0
Secure Association transmitted
Encrypted packets: 9784
Protected packets: 0
Secure Channel received
Accepted packets: 9791
Validated bytes: 0
Decrypted bytes: 2823555
Secure Association received
Accepted packets: 9791
Validated bytes: 0
Decrypted bytes: 2823555
意味
Secure Channel transmitted
出力の下のEncrypted packets
行は、MACsec によって保護および暗号化されたインターフェイスからパケットが送信されるたびにインクリメントされます。Encrypted packets
出力は、9784個の暗号化およびセキュアパケットがインターフェイスge-0/0/0から送信されたことを示しています。そのため、MACsecで保護されたトラフィックは、インターフェイスge-0/0/0で送信されます。
Secure Association received
出力の下のAccepted packets
行は、MACsec整合性チェックに合格したパケットがインターフェイスで受信されるたびにインクリメントされます。Secure Association received
出力の下のDecrypted bytes
行は、暗号化されたパケットを受信して復号化するたびにインクリメントされます。出力は、インターフェイスge-0/0/0で9791個のMACsecで保護されたパケットが受信され、それらのパケットからの2823555バイトが正常に復号化されたことを示しています。そのため、MACsecで保護されたトラフィックは、インターフェイスge-0/0/0で受信されます。
さらに確認するために、もう一方のCEスイッチで show security macsec statistics
コマンドを入力することもできます。
MPLS および CCC プロトコルがプロバイダ エッジとプロバイダ スイッチのインターフェイスで有効になっていることを検証します。
目的
PE およびプロバイダ スイッチの正しいインターフェイスで MPLS が有効になっていることを確認します。
アクション
PE スイッチとプロバイダー スイッチの両方で show interfaces terse
コマンドを入力します。
user@switch-PE1> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up ccc
ge-0/0/1 up up
ge-0/0/1.0 up up inet 10.1.5.2/24
mpls
<some output removed for brevity>
user@switch-P> show interfaces terse
Interface Admin Link Proto Local Remote
xe-0/0/0 up up
xe-0/0/0.0 up up inet 10.1.9.1/24
mpls
ge-0/0/10 up up
ge-0/0/10.0 up up inet 10.1.5.1/24
mpls
<some output removed for brevity>
user@switch-PE2> show interfaces terse
Interface Admin Link Proto Local Remote
xe-0/1/0 up up
xe-0/1/0.0 up up inet 10.1.9.2/24
mpls
xe-0/1/1 up up
xe-0/1/1.0 up up ccc
<some output removed for brevity>
意味
出力では、MPLSトラフィックを通過するプロバイダスイッチインターフェイス(xe-0/0/0およびge-0/0/10)と、MPLSトラフィックを通過するPEスイッチインターフェイス(PE1スイッチのインターフェイスge-0/0/1、PE2スイッチのインターフェイスxe-0/1/0)でMPLSプロトコルが稼働していることを確認します。
出力はまた、CEスイッチに面するPEスイッチインターフェイス(PE1スイッチのインターフェイスge-0/0/0およびPE2スイッチのインターフェイスxe-0/1/1)でCCCが有効になっていることを確認します。
MPLS ラベル動作の検証
目的
CCC の始点としてどのインターフェースが使われているか、MPLS パケットをネクスト ホップにプッシュするためにどのインターフェースが使われているかを検証します。
アクション
一方または両方の PE スイッチで show route forwarding-table family mpls
を入力します。
user@switch-PE1> show route forwarding-table family mpls
Routing table: default.mpls
MPLS:
Destination Type RtRef Next hop Type Index NhRef Netif
default perm 0 dscd 50 1
0 user 0 recv 49 4
1 user 0 recv 49 4
2 user 0 recv 49 4
13 user 0 recv 49 4
299856 user 0 Pop 1327 2 ge-0/0/0.0
ge-0/0/0.0 (CCC) user 0 10.1.5.1 Push 299952 1328 2 ge-0/0/1.0
意味
この出力は、CCC がインターフェイス ge-0/0/0.0 で設定されていることを確認します。スイッチはge-0/0/1.0でイングレストラフィックを受信し、ラベル299952をパケットにプッシュし、パケットはインターフェイスge-0/0/1.0を介してスイッチを出ます。また、スイッチがラベル 299856 の MPLS パケットを受信すると、ラベルをポップして、インターフェイス ge-0/0/0.0 を介してパケットを送信することも示しています
MPLS ラベル動作をさらに確認するには、もう一方の PE スイッチで show route forwarding-table family mpls
を入力します。
MPLS CCC のステータスの検証
目的
MPLS CCCが動作していることを確認します。
アクション
PE スイッチで show connections
コマンドを入力します。
user@switch-PE1> show connections
CCC and TCC connections [Link Monitoring On]
Legend for status (St): Legend for connection types:
UN -- uninitialized if-sw: interface switching
NP -- not present rmt-if: remote interface switching
WE -- wrong encapsulation lsp-sw: LSP switching
DS -- disabled tx-p2mp-sw: transmit P2MP switching
Dn -- down rx-p2mp-sw: receive P2MP switching
-> -- only outbound conn is up Legend for circuit types:
<- -- only inbound conn is up intf -- interface
Up -- operational oif -- outgoing interface
RmtDn -- remote CCC down tlsp -- transmit LSP
Restart -- restarting rlsp -- receive LSP
Connection/Circuit Type St Time last up # Up trans
ge-1-to-pe2 rmt-if Up May 30 19:01:45 1
ge-0/0/0.0 intf Up
lsp_to_pe2_xe1 tlsp Up
lsp_to_pe1_ge0 rlsp Up
user@switch-PE2> show connections
CCC and TCC connections [Link Monitoring On]
Legend for status (St): Legend for connection types:
UN -- uninitialized if-sw: interface switching
NP -- not present rmt-if: remote interface switching
WE -- wrong encapsulation lsp-sw: LSP switching
DS -- disabled tx-p2mp-sw: transmit P2MP switching
Dn -- down rx-p2mp-sw: receive P2MP switching
-> -- only outbound conn is up Legend for circuit types:
<- -- only inbound conn is up intf -- interface
Up -- operational oif -- outgoing interface
RmtDn -- remote CCC down tlsp -- transmit LSP
Restart -- restarting rlsp -- receive LSP
Connection/Circuit Type St Time last up # Up trans
xe-1-to-pe1 rmt-if Up May 30 09:39:15 1
xe-0/1/1.0 intf Up
lsp_to_pe1_ge0 tlsp Up
lsp_to_pe2_xe1 rlsp Up
show connections
コマンドは、CCC接続のステータスを表示します。この出力では、CCC インターフェイスとそれに関連する送信および受信 LSP が両方の PE スイッチでUp
されていることを確認します。
OSPF の動作確認
目的
OSPF が実行中であることを確認します。
アクション
プロバイダーまたは PE スイッチで show ospf neighbor
コマンドを入力し、 State
出力を確認します。
user@switch-P> show ospf neighbor
Address Interface State ID Pri Dead
10.1.5.2 ge-0/0/10.0 Full 130.1.1.1 128 33
10.1.9.2 xe-0/0/0.0 Full 130.1.1.3 128 38
意味
State
出力は、OSPFを使用するすべてのインターフェイスでFull
されるため、OSPFは動作しています。
OSPFでさらに確認するには、プロバイダースイッチに加えてPEスイッチでも show ospf neighbor
コマンドを入力します。
RSVP セッションのステータスの検証
目的
RSVP セッションのステータスを検証します。
アクション
show rsvp session
コマンドを入力し、各 RSVP セッションの状態がアップであることを確認します。
user@switch-P> show rsvp session
Ingress RSVP: 0 sessions
Total 0 displayed, Up 0, Down 0
Egress RSVP: 0 sessions
Total 0 displayed, Up 0, Down 0
Transit RSVP: 2 sessions
To From State Rt Style Labelin Labelout LSPname
130.1.1.1 130.1.1.3 Up 0 1 FF 299936 299856 lsp_to_pe1_ge0
130.1.1.3 130.1.1.1 Up 0 1 FF 299952 299840 lsp_to_pe2_xe1
Total 2 displayed, Up 2, Down 0
意味
すべての接続で State
が Up
ため、RSVP は正常に動作しています。
さらに確認するには、プロバイダー スイッチに加えて PE スイッチにも show rsvp session
を入力します。